Un groupe de piratage chinois présumé a été lié à une série d’attaques contre des organisations gouvernementales exploitant une vulnérabilité Fortinet zero-day (CVE-2022-41328) pour déployer des logiciels malveillants.

La faille de sécurité a permis aux acteurs de la menace de déployer des charges utiles de logiciels malveillants en exécutant du code ou des commandes non autorisés sur des dispositifs de pare-feu FortiGate non corrigés, comme Fortinet l’a révélé la semaine dernière.

Une analyse plus approfondie a révélé que les attaquants pourraient utiliser le logiciel malveillant pour le cyberespionnage, y compris l’exfiltration de données, le téléchargement et l’écriture de fichiers sur des appareils compromis, ou l’ouverture de shells distants lors de la réception de paquets ICMP conçus de manière malveillante.

L’un des incidents a été découvert lorsque les appareils FortiGate d’un client se sont arrêtés avec des erreurs liées à l’intégrité du micrologiciel FIPS, les rendant inutilisables.

Les périphériques ont cessé de démarrer pour empêcher l’infiltration du réseau, une pratique standard pour les systèmes compatibles FIPS. Les pare-feu ont été compromis à l’aide d’un exploit de traversée de chemin FortiGate CVE-2022-41328, et leur arrêt simultané a conduit Fortinet à soupçonner que l’attaque provenait d’un appareil FortiManager.

La société a déclaré qu’il s’agissait d’attaques très ciblées contre les réseaux gouvernementaux et les grandes organisations, les attaquants présentant également des « capacités avancées », notamment la rétro-ingénierie du système d’exploitation des appareils FortiGate.

« L’attaque est très ciblée, avec quelques allusions à des cibles gouvernementales ou liées au gouvernement préférées », a déclaré Fortinet.

« L’exploit nécessite une compréhension approfondie de FortiOS et du matériel sous-jacent. Les implants personnalisés montrent que l’acteur a des capacités avancées, y compris la rétro-ingénierie de diverses parties de FortiOS. »

Liens avec les cyberespions chinois
Un nouveau rapport de Mandiant indique que les attaques ont eu lieu à la mi-2022 et les attribue à un groupe de menaces lié à la Chine que la société suit sous le nom UNC3886.

« Les récentes victimes des opérateurs d’espionnage chinois incluent le DIB, le gouvernement, les télécommunications et la technologie », a déclaré le CTO de Mandiant, Charles Carmakal.

« Compte tenu de la difficulté incroyable à les trouver, la plupart des organisations ne peuvent pas les identifier par elles-mêmes. Il n’est pas rare que les campagnes chinoises se transforment en intrusions pluriannuelles. »

Alors qu’il enquêtait conjointement sur l’incident avec Fortinet, Mandiant a découvert qu’après avoir piraté les appareils Fortinet, l’UNC3886 les avait détournés en utilisant deux nouvelles souches de logiciels malveillants pour un accès continu aux réseaux des victimes : une porte dérobée Thincrust basée sur Python et la porte dérobée passive Castletap à frappe de port ICMP. .

Les acteurs de la menace ont d’abord accédé à un appareil FortiManager accessible depuis Internet avant d’exploiter la faille zero-day CVE-2022-41328 pour écrire des fichiers leur permettant de se déplacer latéralement sur le réseau.

Flux d’attaque Fortimanager

Après avoir gagné en persistance sur les appareils FortiManager et FortiAnalyzer via la porte dérobée Thincrust, le groupe a utilisé des scripts FortiManager pour déjouer plusieurs pare-feu FortiGate à l’aide de Castletap.

Ensuite, l’attaquant s’est connecté aux machines ESXi et vCenter en déployant les portes dérobées VirtualPita et VirtualPie pour maintenir leur emprise sur les hyperviseurs et les machines invitées compromis, garantissant que leurs activités malveillantes ne seraient pas détectées.

Sur les appareils configurés pour restreindre l’accès depuis Internet, les attaquants ont installé un redirecteur de trafic (Tableflip) et une porte dérobée passive (Reptile) après avoir pivoté à partir des pare-feu FortiGate précédemment dérobés à l’aide de Castletap.

« Nous pensons que le ciblage de ces appareils continuera d’être la technique de choix pour les groupes d’espionnage qui tentent d’accéder à des cibles difficiles », a déclaré Ben Read, responsable de l’analyse Mandiant Cyber Espionage chez Google Cloud.

« Cela est dû au fait qu’ils sont accessibles depuis Internet, ce qui permet aux acteurs de contrôler le moment de l’intrusion, et dans le cas des périphériques VPN et des routeurs, la grande quantité de connexions entrantes régulières facilite la fusion. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *